شناسایی backdoor و چندین باگ امنیتی در وردپرس

21 اردیبهشت 1394 4854 بازدید

 امنیت, باگ, آسیب پذیری, باگ امنیتی, وردپرس, بک دور, جاوا اسکریپت, xss, c&c, wordpress, 2015, vulnerability, bug, eshop, thecartpress

اینگونه که مشخص است، کاربران وردپرس نمی‌توانند یک نفس راحت بکشند. با سیلی از آسیب پذیری هایی که تاکنون روی این سیستم مدیریت محتوا که بخش اعظم آن به افزونه یا پلاگین‌های آن مربوط میشود، حال نوبت به شناسایی آسیب پذیریهای جدی تری رسیده است. در این مطلب گزارش کسپرسکی از شناسایی چهار آسیب پذیری و باگ امنیتی مهم و حساس در سیستم مدیریت محتوای محبوب وردپرس را میخوانید که به یافته های کارشناسان امنیتی گروه های مختلف در این خصوص میپردازد.

بنا بر گزارش اخیر کارشناسان امنیتی شرکت کسپرسکی*، اطلاعات حساب مدیریتی بسیاری از وبسایتهایی که بر پایه همین سیستم مدیریت محتوا ایجاد شده بودند اخیراً با استفاده از یک backdoor به یک گروه مجرم سایبری ارسال می‌شده است.

محققین شرکت امنیتی Zscaler پنج شنبه گذشته اعلام نمودند که این backdoor زمانی روی وبسایت ها فعال میگردد که کاربران اقدام به ورود به بخش مدیریت و وارد نمودن اطلاعات کاربری پنل وردپرس می نمایند. به گفته Sameer Patil و Deepen Desai دو تن از محققین این شرکت امنیتی «این اطلاعات کاربری بصورت رمزنگاری شده و در قالب یک GET request به وبسایت سودجوی سایبری ارسال میگردد.»

تیم امنیتی تحقیقاتی شرکت Zscaler اظهار داشت که مؤفق به شناسایی یک دامنه اینترنتی با عملکرد فرمان و کنترل این حملات را شناسایی کردند. آدرس این دامنه اینترنتی conyouse[.]com بوده که اطلاعات برای آن ارسال می شده است.

این کارشناسان همچنین لیستی از وبسایت هایی که تاکنون مورد حمله قرار گرفته است را به شرح زیر اعلام نمودند:

 

shoneekapoor[.]com

dwaynefrancis[.]com

blissfields[.]co[.]uk

avalineholding[.]com

attherighttime[.]net

bolsaemprego[.]ne

capitaltrill[.]com

blowdrybar[.]es

espada[.]co[.]uk

technograte[.]com

socalhistory[.]org

blissfields[.]co[.]uk

glasgowcontemporarychoir[.]com

sombornefp[.]co[.]uk

reciclaconloscincosentidos[.]com

testrmb[.]com

digivelum[.]com

laflordelys[.]com

 

بنا به نوشته های کارشناسان Patil و Desai « پس از آنکه کاربرانی که با مورد مشکوکی روبرو نشده اند، اقدام به ورود به پنل وردپرس خود می نمایند، کد مخرب جاوا اسکریپتی که در این صفحه تعبیه شده و روی سایت C&C (سایت کنترل و فرمان فوق الذکر) میزبانی میشود را اجرا می‌نمایند. این کد در فایلی با نام wp.js. روی این سیستم یافت شده است. »

بنا به اظهارات این محققین «فرم حاوی فیلدهای اسم کاربری و کلمه عبوردر سایت های وردپرسی معمولاً با نام loginform موجود است. روش بکارگرفته شده این سودجویان، یعنی روش preventDefault منجر میشود قسمت loginform در فایل فرم ورود از کار افتاده و در عوض اقدام کاربر به ورود یا login کد مخرب ذکر شده را اجرا نماید. محتوای بخش اطلاعات کاربری با فرمت Base64 سری و کدگذاری میشود.»

گزارش این تیم تحقیقاتی می افزاید: «اولین چیزی که برای مدیران وبسایت های وردپرسی لزوم می یابد، نصب اصلاحیه ها یا Patch های وردپرس ضمن بروز نگاه داشتن وردپرس بصورت منظم است.»

این توصیه در هفته جاری اهمیت بیشتری می یابد چراکه این تنها آسیب پذیری یا حمله نبوده است که امنیت وبسایت های وردپرسی را به خطر می اندازد. در همین هفته شاهد شناسایی آسیب پذیریهایی در دو افزونه وردپرسی در حوزه فروش اینترنتی نیز بودیم. این دو افزونه با نامهای eShop و TheCartPress که امنیت اطلاعات مالی و کاربری انتقالی توسط این افزونه ها را به خطر می انداختند، طی چند روز اخیر سرانجام اصلاح شدند.

EShop که یک افزونه فروش آنلاین است که تاکنون حدود 600 هزار بار دانلود و نصب شده است و تنها دوبار طی یکسال اخیر بروز شده است. طبق آسیب پذیری شناسایی شده توسط محققین امنیتی High Tech Bridge، اطلاعات حساس کاربرانی که از طریق وبسایتهای مجهز به این سیستم فروش و پرداخت آنلاین، بدلیل آسیب پذیری تصدیق اطلاعات کاربری، کاملاً در خطر بود.

افزونه بعدی با نام TheCartPress امکانات فروش و پرداخت آنلاین متعددی را در صاحبان وبسایتهای وردپرسی قرار می‌داد که آن نیز دارای یک آسیب پذیری "تزریق اسکریپت در وبگاه" یا XSS در پنل ورود بوده است.

این آسیب پذیری XSS همچنین در یکی از پکیج های آیکون ارائه شده در افزونه مشهور و محبوب Jetpack و قالب وردپرسی و پیش فرض TwentyFifteen میباشد.

این چند نمونه، آسیب پذیریهای وردپرس را در کمتر از دو هفته پس از مورد نادر شناسایی آسیب پذیری zero-day در هسته وردپرس بود.

این باگ با تزریق کدهای جاوااسکریپت در قسمت کامنت یا دیدگاه وبسایتهای وردپرسی، منجر به اجرای آنها روی سرور می‌گشت که در نسخه 4.2.1 از وردپرس اصلاح گردید.

 

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.